Il team di sicurezza informatica del colosso della vendita al dettaglio Walmart ha analizzato una nuova famiglia di ransomware denominata Sugar, che implementa un modello di ransomware-as-a-service (RaaS) che sembra concentrarsi principalmente su singoli computer anziché su intere imprese e che sta riutilizzando codice di altre famiglie di ransomware.
Il malware è scritto in Delphi ma la parte interessante dal punto di vista RE è il riutilizzato di una versione modificata della crittografia RC4 e della stessa routine dal crypter come parte della decodifica della stringa nel malware.
“Il malware è scritto in Delphi ma la parte interessante dal punto di vista RE è stato il riutilizzo della stessa routine dal crypter come parte della decodifica della stringa nel malware, questo ci farebbe credere che abbiano lo stesso dev e il crypter è probabilmente parte del processo di costruzione o di qualche servizio che l’attore principale offre ai propri affiliati”, si legge nell’analisi pubblicata da Walmart.
Gli esperti hanno osservato alcune somiglianze tra il ransomware di Sugar e quello di REvil, mentre la pagina del decryptor è simile a quella utilizzata dagli operatori di Cl0p.
La nota ransomware ha alcune sorprendenti somiglianze con Revil ma anche alcune differenze ed errori di ortografia. Il pezzo di crittografia dei file campioni analizzati sembra invece utilizzare lo stesso algoritmo di crittografia SCOP.
https://medium.com/walmartglobaltech/sugar-ransomware-a-new-raas-a5d94d58d9fb